Definir configurações de colaboração externa para B2B no Microsoft Entra External ID

Aplica-se a:Círculo verde com um símbolo de marca de verificação branco. Locatários da força deCírculo branco com um símbolo X cinzento. trabalho Locatários externos (saiba mais)

As configurações de colaboração externa permitem especificar quais funções em sua organização podem convidar usuários externos para colaboração B2B. Essas configurações também incluem opções para permitir ou bloquear domínios específicos e opções para restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. Também estão disponíveis as seguintes opções:

  • Determinar o acesso do usuário convidado: a ID Externa do Microsoft Entra permite restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. Por exemplo, você pode limitar a visualização de membros de grupos por usuários convidados ou permitir que os convidados visualizem apenas suas próprias informações de perfil.

  • Especifique quem pode convidar convidados: por padrão, todos os usuários em sua organização, incluindo usuários convidados de colaboração B2B, podem convidar usuários externos para colaboração B2B. Se quiser limitar a capacidade de enviar convites, pode ativar ou desativar convites para todos ou limitar os convites a determinadas funções.

  • Habilitar a inscrição de autoatendimento de convidado por meio de fluxos de usuário: para aplicativos que você cria, você pode criar fluxos de usuário que permitem que um usuário se inscreva em um aplicativo e crie uma nova conta de convidado. Você pode habilitar o recurso em suas configurações de colaboração externa e, em seguida , adicionar um fluxo de usuário de inscrição de autoatendimento ao seu aplicativo.

  • Permitir ou bloquear domínios: você pode usar restrições de colaboração para permitir ou negar convites para os domínios especificados. Para obter detalhes, consulte Permitir ou bloquear domínios.

Para colaboração B2B com outras organizações do Microsoft Entra, você também deve revisar suas configurações de acesso entre locatários para garantir sua colaboração B2B de entrada e saída e acesso ao escopo para usuários, grupos e aplicativos específicos.

Para usuários finais de colaboração B2B que executam logins entre locatários, a marca do locatário doméstico é exibida, mesmo que não haja uma marca personalizada especificada. No exemplo a seguir, a marca da empresa para Woodgrove Groceries aparece à esquerda. O exemplo à direita exibe a marca padrão para o locatário doméstico do usuário.

Capturas de ecrã a mostrar uma comparação entre a experiência de início de sessão com a marca e a experiência de início de sessão predefinida.

Nota

Dependendo das configurações de colaboração externa que você deseja configurar, diferentes funções de administrador podem ser necessárias. Este artigo especifica a função necessária para cada tipo de configuração. Consulte também Funções menos privilegiadas por tarefa para ID/B2C externo.

Definir definições no portal

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Para configurar o acesso de usuário convidado

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Configurações de colaboração externa de identidades>>externas.

  3. Em Acesso de usuário convidado, escolha o nível de acesso que você deseja que os usuários convidados tenham:

    Captura de tela mostrando as configurações de acesso do usuário convidado.

    • Os usuários convidados têm o mesmo acesso que os membros (mais inclusivos): essa opção oferece aos convidados o mesmo acesso aos recursos e dados de diretório do Microsoft Entra que os usuários membros.

    • Os usuários convidados têm acesso limitado a propriedades e associações de objetos de diretório: (Padrão) Essa configuração bloqueia os convidados de determinadas tarefas de diretório, como enumerar usuários, grupos ou outros recursos de diretório. Os hóspedes podem ver a associação de todos os grupos não ocultos. Saiba mais sobre as permissões de convidado padrão.

    • O acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório (mais restritivos): com essa configuração, os convidados podem acessar apenas seus próprios perfis. Os hóspedes não têm permissão para ver os perfis, grupos ou associações de grupos de outros usuários.

Para definir as configurações de convite de convidado

  1. Entre no centro de administração do Microsoft Entra como pelo menos um convidado Inviter.

  2. Navegue até Configurações de colaboração externa de identidades>>externas.

  3. Em Configurações de convite de convidado, escolha as configurações apropriadas:

    Captura de ecrã a mostrar as definições de convite de convidado.

    • Qualquer pessoa na organização pode convidar usuários convidados, incluindo convidados e não administradores (mais inclusivos): para permitir que convidados na organização convidem outros convidados, incluindo usuários que não são membros de uma organização, selecione este botão de opção.
    • Os usuários membros e os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados, incluindo convidados com permissões de membro: para permitir que usuários membros e usuários com funções de administrador específicas convidem convidados, selecione este botão de opção.
    • Somente os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados: para permitir que apenas os usuários com funções de Administrador de Usuários ou Convidado Convidado convidem convidados, selecione este botão de opção.
    • Ninguém na organização pode convidar usuários convidados, incluindo administradores (mais restritivos): para impedir que todos na organização convidem convidados, selecione este botão de opção.

Para configurar a inscrição de autoatendimento de convidado

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.

  2. Navegue até Configurações de colaboração externa de identidades>>externas.

  3. Em Habilitar inscrição de autoatendimento de convidado por meio de fluxos de usuário, selecione Sim se quiser criar fluxos de usuário que permitam que os usuários se inscrevam em aplicativos. Para obter mais informações sobre essa configuração, consulte Adicionar um fluxo de usuário de inscrição pessoal a um aplicativo.

    Captura de tela mostrando a configuração de inscrição de autoatendimento por meio de fluxos de usuário.

Para definir as configurações de licença do usuário externo

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Provedor de Identidade Externo.

  2. Navegue até Configurações de colaboração externa de identidades>>externas.

  3. Em Configurações de licença do usuário externo, você pode controlar se os usuários externos podem se remover da sua organização.

    • Sim: os usuários podem sair da própria organização sem a aprovação do seu administrador ou contato de privacidade.
    • Não: os usuários não podem sair da sua organização. Eles veem uma mensagem orientando-os a entrar em contato com seu administrador ou contato de privacidade para solicitar a remoção da sua organização.

    Importante

    Você pode definir as configurações de licença do usuário externo somente se tiver adicionado suas informações de privacidade ao locatário do Microsoft Entra. Caso contrário, essa configuração não estará disponível.

    Captura de tela mostrando as configurações de saída do usuário externo no portal.

Para configurar restrições de colaboração (permitir ou bloquear domínios)

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando você não pode usar uma função existente.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Global.

  2. Navegue até Configurações de colaboração externa de identidades>>externas.

  3. Em Restrições de colaboração, você pode escolher se deseja permitir ou negar convites para os domínios especificados e inserir nomes de domínio específicos nas caixas de texto. Para vários domínios, insira cada domínio em uma nova linha. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.

    Captura de ecrã a mostrar as definições de restrições de colaboração.

Definir definições com o Microsoft Graph

As configurações de colaboração externa podem ser definidas usando a API do Microsoft Graph:

Atribuir a função Guest Inviter a um usuário

Com a função Guest Inviter , você pode dar aos usuários individuais a capacidade de convidar convidados sem atribuir-lhes uma função de administrador de privilégios mais altos. Os usuários com a função Convidado Convidado podem convidar convidados mesmo quando a opção Somente usuários atribuídos a funções de administrador específicas podem convidar usuários convidados está selecionada (em Configurações de convite de convidado).

Veja um exemplo que mostra como usar o Microsoft Graph PowerShell para adicionar um usuário à Guest Inviter função:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Logs de login para usuários B2B

Quando um usuário B2B entra em um locatário de recurso para colaborar, um log de entrada é gerado no locatário doméstico e no locatário do recurso. Esses logs incluem informações como o aplicativo que está sendo usado, endereços de email, nome do locatário e ID do locatário para o locatário doméstico e o locatário do recurso.

Próximos passos

Consulte os seguintes artigos sobre a colaboração B2B do Microsoft Entra: